Nume:TR/Hijack.Explor.1
Descoperit pe data de:28/06/2006
Tip:Troian
ITW:Nu
Numar infectii raportate:Scazut
Potential de raspandire:Scazut
Potential de distrugere:Mediu
Fisier static:Da
Marime:45.056 Bytes
MD5:f508e5a83c339e32a4e0d1185873dea2
Versiune VDF:6.35.00.88
Versiune IVDF:6.35.00.99 - Friday, June 30, 2006

 General Metoda de raspandire:
   • Nu are rutina proprie de raspandire


Alias:
   •  Kaspersky: Trojan-Proxy.Win32.Small.ez
   •  TrendMicro: TROJ_SMALL.DEF
   •  F-Secure: Trojan-Proxy.Win32.Small.ez
   •  Grisoft: Proxy.FRE
   •  Eset: Win32/Agent.PA


Sistem de operare:
   • Windows 98
   • Windows 98 SE
   • Windows NT
   • Windows ME
   • Windows 2000
   • Windows XP
   • Windows 2003


Efecte secundare:
   • Modificari in registri
   • Sustrage informatii
   • Posibilitatea accesului neautorizat la computer

 Fisiere Se copiaza in urmatoarea locatie:
   • %SYSDIR%\svcroot.exe

 Registrii sistemului Urmatoarele chei sunt adaugate in registri pentru a rula procesul la repornirea sistemului:

– [HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
   • "svcroot"="%SYSDIR%\scvroot.exe"

– [HKCU\Software\Microsoft\Windows\CurrentVersion\Run]
   • "svcroot"="%SYSDIR%\svcroot.exe"



Urmatoarea cheie din registri este modificata:

– [HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon]
   Vechea valoare:
   • "Shell"="Explorer.exe"
   Noua valoare:
   • "Shell"="Explorer.exe svcroot.exe"

 Backdoor Deschide porturile:

– iexplore.exe port TCP aleator pentru a functiona ca un server proxy Socks 4,
– iexplore.exe pe portul TCP 5050 pentru a crea remote Shell.


Servere contactate:
Urmatorul:
   • http://www.site.ru/socks/**********

Astfel se pot transmite informatii. Aceasta se face printr-o interogare HTTP GET intr-un script PHP.


Trimte informatii despre:
    • Numele sistemului
    • Viteza procesorului
    • Timpul de cand malware-ul a fost lansat in executie
    • Port deschis
    • Cantitatea de memorie
    • Utilizator
    • Informatii despre sistemul de operare

 Injectarea codului malware in alte procese – Se injecteaza intr-un proces.

    Numele procesului:
   • iexplore.exe

   Daca operatiunea se termina cu succes, malware-ul se opreste din executie, iar componenta injectata ramane activa.

 Tehnologie Rootkit  Ascunde urmatoarele:
– Propriile chei de registru


Metoda folosita:
    • Ascuns de Windows API

 Detaliile fisierului Compresia fisierului:
Pentru a ingreuna detectia si a reduce marimea fisierului, este folosit un program de compresie runtime.

Description inserted by Adriana Popa on Wednesday, October 25, 2006
Description updated by Adriana Popa on Wednesday, October 25, 2006

Back . . . .